Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• IcedTea Web vulnerability (деталі)
• LiveZilla 5.3.0.7 Security Issue (деталі)
• Elastix Multiple vulnerabilities (Remote Command Execution, XSS, CSRF) (деталі)
• Multiple XSS Vulnerabilities in LiteCart (деталі)
• Unauthenticated access & manipulation of settings in Huawei E5331 MiFi mobile hotspot (деталі)

Цього року відбувся масовий взлом сайтів на сервері Ukraine. Він відбувся з 29.01.2015 по 17.10.2015. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Ukraine. Взлом складався з багатьох окремих дефейсів. Вони переважно відбулися після масового взлому сервера 1GB.

Всього було взломано 38 сайтів на сервері хостера Ukraine (IP 185.68.16.59). Перелік сайтів можете подивитися на www.zone-h.org. Від biz-registr.com.ua до webmarketing.org.ua.

З зазначених 38 сайтів 25 сайтів були взломані хакером red virus maroc, 4 сайти хакером d3b~X, по два сайти хакерами Abdellah Elmaghribi і Virus OS та по одному хакерами w4l3XzY3, Team_CC, the_warri0r, muaad scorpion і Ashiyane Digital Security Team.

Масовий дефейс хакером red virus maroc явно був зроблений через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

Виявлені уразливості безпеки в LibreSSL.

Уразливі версії: LibreSSL 2.0, LibreSSL 2.3.

DoS, переповнення буфера.

• LibreSSL (CVE-2015-5333 and CVE-2015-5334) (деталі)

В 2010 році я писав про витік IP адреси в електронних листах в статті Визначення IP автора е-майл листа. Тоді я розповів про заголовки X-Originating-IP та X-Sender-IP. Розповім про нові веб додатки і сервіси електронної пошти, що додають ці заголовки в емайл листи.

В електронних листах окрім IP відправника можна в заголовках знайти багато цікавого. Наприклад сервер, що відправив пошту, і всі проміжні хости, аж до сервера отримувача. Що дозволить перевірити чи не є підробленим емайл відправника, щоб його електронна пошта відповідала серверу, з якого надійшов лист. Але найбільш важливим є саме IP адреса відправника.

Визначити IP автора емайл листа можна через заголовок X-Originating-IP або X-Sender-IP. Вперше я отримав лист з заголовком X-Originating-IP ще в 2004 році. Так що практика використання даних заголовків існує вже давно.

В першій статті я писав, що ці заголовки вставляють в листи поштові сервери IceWarp Web Mail та Visual Online SMTP gateway і деякі поштові скрипти, що використовуються на деяких сайтах. Цього року я виявив ще сервер Zimbra.

X-Originating-IP: [xxx.xxx.xxx.xxx]
X-Mailer: Zimbra 7.2.4_GA_2900 (ZimbraWebClient - FF3.0 (Win)/7.2.4_GA_2900)

Як і в 2010 році, моє цьогорічне дослідження показало, що один з даних заголовків встановлюється при відправці пошти через наступні сервери: mail.ru (inbox.ru, bk.ru, list.ru та всі їхні домени), ukr.net, bigmir.net та i.ua. Також ще виявив сервер ukrtelecom.ua. Але більше не висилають сервери inet.ua, hotmail.com і gmail.com.

Так що сховати свій IP при використанні даних поштових серверів не вийде. Лише використання проксі (якщо це можливо для конкретного сервера) може допомогти. З іншої сторони вищезгадані поштові сервери призводять до витоку приватних даних, що не може сподобатися шанувальникам приватності. І вони повинні врахувати цей аспект при використанні даних серверів.

В даній добірці експлоіти в веб додатках:

• Octogate UTM 3.0.12 - Admin Interface Directory Traversal (деталі)
• Synology Video Station 1.5-0757 - Multiple Vulnerabilities (деталі)
• php - cgimode fpm writeprocmemfile bypass disable function demo (деталі)
• Android Stagefright - Remote Code Execution (деталі)
• TP-Link NC200/NC220 Cloud Camera 300Mbps Wi-Fi - Hard-Coded Credentials (деталі)

Українські Кібер Війська з червня займаються розвідкою. Це аудіо і відео розвідка. Раніше я наводив відео Українських Кібер Військ, що демонструють можливості Українських Кібер Військ по спостереженню за терористами.

Ось 5 нових відео, що зроблені в рамках розвідувальної операції:

Українські Кібер Війська: російська військова техніка з Криму в РФ на Донбас 24.08.2015 - УКВ записали переміщення військової техніки в Криму.

Українські Кібер Війська: військова техніка терористів з БТР в Горлівці за 12.08.2015 - УКВ записали переміщення військової техніки в Горлівці.

Українські Кібер Війська: російська військова техніка в Керчі за 30.08.2015 - УКВ записали переміщення військової техніки в Криму.

Українські Кібер Війська: російська військова техніка в Криму для направлення на Донбас 11.09.2015 - УКВ записали переміщення військової техніки в Криму.

Українські Кібер Війська: банк терористів в Краснодоні за 25.09.2015 - УКВ записали банк ЛНР в Краснодоні.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://chasy.com.ua - інфекція була виявлена 20.10.2015. Зараз сайт входить до переліку підозрілих.
• http://milkua.info - інфекція була виявлена 20.10.2015. Зараз сайт не входить до переліку підозрілих.
• http://sports.zp.ua - інфекція була виявлена 20.10.2015. Зараз сайт входить до переліку підозрілих.
• http://kig.in.ua - інфекція була виявлена 20.10.2015. Зараз сайт не входить до переліку підозрілих.
• http://roganska.com.ua - інфекція була виявлена 20.10.2015. Зараз сайт не входить до переліку підозрілих.

Виявлені уразливості безпеки в PostgreSQL.

Уразливі версії: PostgreSQL 9.4.

Розкриття інформації, DoS.

• PostgreSQL vulnerabilities (деталі)

В даній добірці уразливості в веб додатках:

• HP Rapid Deployment Pack (RDP) or HP Insight Control Server Deployment, Multiple Remote Vulnerabilities affecting Confidentiality, Integrity and Availability (деталі)
• Web Encryption Extension security update (деталі)
• Kunena Forum Extension for Joomla Multiple SQL Injection Vulnerabilities (деталі)
• Kunena Forum Extension for Joomla Multiple Reflected Cross-Site Scripting Vulnerabilities (деталі)
• EMC VPLEX Multiple Vulnerabilities (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Slideoptinproxr, Shopping Cart, WP Symposium, Pods. Для котрих з’явилися експлоіти. А також брутфорсер паролів WP-Bruteforce.

• WP-Bruteforce c0d3Lib WordPress Bruteforcing Tool (деталі)
• WordPress Slideoptinprox Cross Site Scripting (деталі)
• WordPress Shopping Cart 3.0.4 Unrestricted File Upload (деталі)
• WordPress WP Symposium 14.11 Shell Upload (деталі)
• WordPress Pods 2.4.3 CSRF / Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.